A Lei Geral de Proteção de Dados – Lei nº 13.709/2018 (“LGPD”) está em vigor. O processo de implementação de políticas de proteção de dados pessoais e privacidade pode ser bastante desafiador, especialmente para as startups, muitas vezes com budget limitado e equipe enxuta. Nós sabemos desses desafios e queremos ajudar sua startup neste processo!

Se a sua startup cadastra, armazena e processa dados pessoais de indivíduos localizados no Brasil, ou cuja coleta de dados ocorra no Brasil, sejam eles coletados em ambiente digital ou offline, é fundamental que estes processos ocorram conforme a LGPD. Para a LGPD, dado pessoal é toda informação relacionada a uma pessoa natural (pessoa física) identificada ou identificável. Ou seja, ela também é aplicável a startups estrangeiras com usuários localizados no Brasil ou mesmo a startups brasileiras, com produtos oferecidos no mercado brasileiro, ainda que a hospedagem da plataforma ocorra em outro país.

São Considerados Dados Pessoais:

  • Nome e apelido;

  • Endereço de residência;

  • Endereço eletrônico;

  • Número de um cartão de identificação;

  • Dados de localização (por exemplo: a função de dados de localização em um celular);

  • Endereço IP (protocolo de internet);

  • Testemunhos de conexão (cookies);

  • Identificador de publicidade do telefone;

  • Dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Por Sua Vez, NÃO São Considerados Dados Pessoais:

  • Número de registro de empresa;

  • Endereço eletrônico de empresa;

  • Dados anônimos ou anonimizados, entendidos como aqueles relativos a um titular que não possa ser identificado por métodos técnicos disponíveis e razoáveis.

Atenção Especial com os Dados Sensíveis

O tratamento de dados pessoais sensíveis somente é permitido para o cumprimento de uma obrigação legal ou mediante o consentimento específico e destacado do titular, tendo em vista que, pela sua natureza, podem comportar algum tipo de discriminação. São entendidos como dados pessoais sensíveis aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; e dado genético ou biométrico, quando vinculado a uma pessoa natural.

O Tratamento de Dados Pessoais Exige uma Base Legal

A LGPD permite o tratamento de dados pessoais quando fundamentado nas bases legais previstas na legislação, como, por exemplo, mediante o consentimento do titular, quando necessário para execução de um contrato cujo titular seja parte, entre outras.

Destacamos a importância de uma Política de Privacidade clara e objetiva, permitindo que o titular do dado compreenda como e para qual finalidade será realizado o tratamento dos seus dados.

Os Dados Pessoais Devem Ser Destruídos ou Anonimizados Após o Término do Tratamento

É importante se atentar ao conceito de término do tratamento dos dados, que pode ocorrer em razão do alcance da finalidade, fim do período acordado, revogação de consentimento pelo titular do dado ou determinação de órgão competente.

Listamos 8 Pontos Principais do Processo de Avaliação de Conformidade à LGPD

  1. Inventário dos dados pessoais coletados, armazenados e tratados: Como primeiro passo, sugerimos que sua startup entenda como sua operação coleta, armazena e trata dados pessoais de usuários e clientes, e saiba descrever em detalhes este fluxo, durante todo o seu ciclo e vida.

  2. Registro dos tratamentos e operações realizadas.

  3. Documentação das bases legais para o tratamento, inclusive quanto à obtenção do consentimento.

  4. Avaliação de quais são os pontos sensíveis e que podem apresentar algum risco aos titulares dos dados: A partir da identificação dos pontos sensíveis (touchpoints), é possível desenhar quais ações mitigadoras serão implementadas. Reavalie periodicamente sua operação e elabore Relatórios de Impacto à Proteção de Dados Pessoais.

  5. Programa de Governança em Privacidade: Sugerimos que este programa preveja a adoção de medidas de mitigação de riscos e implementação da segurança do tratamento de dados, bem como disponha sobre proteções técnicas e administrativas para a proteção de dados pessoais. Nesse sentido, sua empresa precisará adotar Política de Privacidade, Política de Segurança da Informação, revisão dos contratos para inclusão de cláusula de proteção de dados e previsão de uma política corporativa de gestão da privacidade e informação.

  6. Medidas ou procedimentos que solucionem potenciais questionamentos, questionamentos ou reclamações relativas à segurança de dados.

  7. Encarregado que monitore e fiscalize a conformidade da proteção de dados, e funcione como ponto de comunicação (DPO).

  8. Processo que sistematicamente apague, destrua ou anonimize os dados pessoais quando não há mais base legal para o armazenamento.

O Alves Fernandes tem ampla experiência com startups e está pronto para assessorá-lo (a) no processo de adequação à LGPD, bem como na elaboração de Política de Privacidade, Política de Segurança da Informação, revisão dos contratos para inclusão de cláusula de proteção de dados e previsão de uma política corporativa de gestão da privacidade e informação.

Comment

Leia Mais